ESMA w sprawie Compliance, czyli projekt wytycznych w sprawie zgodności regulacyjnej z pakietem MiFID2. Konsultacje otwarte. Część 1.

Rozporządzenie 2017/565, które towarzyszy dyrektywie MiFID2, wprowadziło istotną zmianę w zakresie zasad zarządzania ryzykiem regulacyjnym dla działalności inwestycyjnej (pisałem o tym tutaj oraz tutaj – w odniesieniu do handlu algorytmicznego). Jak to jednak z przepisami prawa bywa, niekiedy są one dość ogólne i pozostawiają duże pole do – nie zawsze właściwej – interpretacji. Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) również uznał, że konieczne jest doprecyzowanie wymogów w zakresie compliance, o których mowa m.in. w art. 21 ww. Rozporządzenia. Efektem tego „uznania” jest ogłoszenie w sprawie konsultacji dotyczących „Guidelines on certain aspects of the MiFID II compliance function requirements”. Jakie zmiany czekają komórki ds. zgodności z prawem? Dzisiaj pierwsza część analizy. Zapraszam do przeczytania artykułu.

Zacznij od dat. ESMA oczekuje na „feedback” dotyczący projektu wytycznych do 15 października, natomiast wydanie finalnych wytycznych planowane jest na drugi kwartał 2020 r. Teoretycznie jest więc czas na właściwe dostosowanie się do zamierzonych zmian. Przypomnę tylko, że kwestie dotyczące wymogów organizacyjnych dla szeroko rozumianej kontroli wewnętrznej znalazły odzwierciedlenie w Rozporządzeniu Ministra Finansów z 29 maja 2018 r. i są one dość precyzyjne (obejmują np. obowiązki w zakresie „nadzoru” nad procesem sprzedaży produktów inwestycyjnych).

Co z kosztami wprowadzenia zmian?

Temat kosztów wdrażania nowych regulacji zawsze budzi pewne emocje (polecam ciekawy raport Thomson Reuters dotyczących kosztów compliance). ESMA analizując potrzebę wprowadzenie nowych wytycznych również przeprowadziła analizę cost-benefit, której konkluzją jest, że wdrożenie tych wymogów, choć kosztowne, jest potrzebne i w ostatecznym rozrachunku korzyści (odbudowa zaufania, większa ochrona konsumentów) pokryją te koszty dla wszystkich uczestników rynku. Pamiętajmy również o tym, że wytyczne powinny być „czytane” łącznie z art. 22 ust. 1 Rozporządzenia 2017/565, który odnosi się do zasady proporcjonalności (rozmiar i zakres działalności instytucji versus zakres obowiązków).

Definicja ryzyka niezgodności

A raczej zgodności. Wytyczne wprowadzają definicję tzw. „compliance risk”, które należy rozumieć jako ryzyko, że firma inwestycyjna pozostanie w niezgodności z obowiązkami wynikającymi z MiFID2 oraz właściwymi aktami krajowy, jak również mającymi zastosowanie standardami wydawanymi przez ESMA oraz krajowych nadzorców. Co to oznacza w praktyce? Każde odstępstwo od ww. dokumentów może stanowić ryzyko regulacyjne. Wymaga to uwzględnienia tego faktu w polityce zgodności i innych regulacjach wewnętrznych z obszaru kontroli wewnętrznej, w tym zarządzania ryzykiem.

Ocena ryzyka wystąpienia niezgodności

Podstawowym zadaniem komórki compliance jest ocena i monitorowanie (risk assessment) ryzyk regulacyjnych. W tym celu konieczne jest ustanowienie odpowiedniego mechanizmu monitorowania opartego na ryzyku, a także wdrożenie odpowiedniego programu (strategii), który obejmował będzie wyznaczenie priorytetów, zadań oraz kompetencji oraz zasobów komórki ds. zgodności, co powinno pozwolić na sprawowanie nadzoru bardziej efektywnie.

Taka analiza ryzyka (regularnie aktualizowana) powinna uwzględniać nie tylko zakres świadczonych usług (np. doradztwo inwestycyjne czy pośrednictwo), ale również rodzaj instrumentów, które znajdują się w ofercie instytucji, a także wszelkie regulacje wewnętrzne mające zastosowanie do określonego typu działalności. Przy ocenie ryzyka (oraz aktualizacji polityki zgodności) należy również brać pod uwagę wnioski płynące z zewnętrznych i wewnętrznych audytów.

Monitoring

Kolejnym niezwykle istotnym obszarem zarezerwowanym dla compliance jest monitorowanie ryzyka niezgodności. Właściwa komórka (lub wyznaczony inspektor) powinna regularnie sprawdzać czy działalność instytucji (w tym w zakresie oferowania produktów i usług) jest zgodna właściwymi wymogami (w tym wymogami organizacyjnymi). Co istotne, jeżeli firma inwestycyjna wchodzi w skład grupy, compliance powinno być sprawowane w odniesieniu do każdego podmiotu z tej grupy (również w przypadku gdy funkcja zgodności jest outsource’owana), przy czym należy zawsze uwzględniać ryzyka właściwe dla całej grupy.

Narzędzia compliance

W celu efektywnego wykonywania swoich zadań, komórka ds. zgodności powinna opracować (I stosować) odpowiednie narzędzia iI metodologie oceny ryzyka brkau zgodności. Co istotne, ESMA wskazuje, że regularny monitoring obejmuje również to w jaki sposób polityki i procedury są stosowane przez poszczególne jednostki biznesowe (np. polityka sprzedażowa czy procedury nadzoru nad pracownikami oferującymi produkty i usługi). Powinno odbywać się to nie tylko „z poziomu biurka”, ale również w ramach tzw. on-site inspections.

ESMA zaproponowała przykładowy katalog narzędzi, które komórka compliance może zastosować na te potrzeby. Są to m.in.

Obligatoryjne raporty compliance przekazywane do organów zarządzających;
Stosowanie wskaźników ryzyka (risk indicators);
Raporty ad hoc;
Przeglądy praktycznego zastosowania odpowiednich regulacji, w tym np. odsłuchiwanie rozmów z klientami prowadzonych przez pracowników instytucji czy raporty „biznesu” przekazywane do właściwej komórki.

Co brać pod uwagę?

Przy ustalaniu planu monitoringu ryzyka compliance należy brać pod uwagę nie tylko profil ryzyka instytucji, ale również wszelkie ewentualne zmiany w strukturze podmiotu, zmiany w systemach teleinformatycznych czy reorganizację.

Monitoring powinien być również dostosowany do określonych wymogów poszczególnych jednostek biznesowych (tutaj znaczenie mieć będzie odpowiednie określenie struktury odpowiedzialności i eskalacji wyrażonej np. w regulaminach organizacyjnych) oraz uwzględniać przeglądy dokonane przez funkcje audytu wewnętrznego oraz zarządzania ryzykiem.

Co istotne, ESMA wskazała również na konieczność przyznania compliance funkcji koordynacyjnej w zakresie przeglądu funkcjonowania pozostałych „aktorów” kontroli wewnętrznej – przy zachowaniu zasady niezależności poszczególnych jednostek.

Compliance powinno również pełnić ważną funkcję “kontrolera” nad operacyjnym procesem rozstrzygania skarg klientów (co powinno być również uwzględniane jako materiał do przeprowadzania monitoring ryzyka), jednakże nie jest konieczne, aby taka komórka pełniła funkcję “rozstrzygającego” tego typu skargi. Komórka ds. zgodności musi mieć jednak dostęp do wszystkich skarg klientów (bez rozstrzygania czy to na zasadzie „ciągłej”, czy też na żądanie).

Co w kolejnej części?

Przybliżę obowiązki compliance w zakresie raportowania względem zarządu, jak również jakie rozwiązania organizacyjne powinna zapewnić firma inwestycyjna (lub inna jednostka) w zakresie oceny zgodności oraz funkcję doradczą dla biznesu, która ma szczególne znaczenie dla zapewnienia zgodności działalności biznesowej z odpowiednimi regulacjami.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech